marco signorelli 19 09 2008 ordine degli avvocati di bergamo
TRANSCRIPT
![Page 1: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/1.jpg)
CONSULENTE INFORMATICO
Marco [email protected]
19 Settembre 2008 Ordine degli Avvocati di Bergamo
Auditorium del Collegio Sant’Alessandro
![Page 2: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/2.jpg)
Si definisce sniffing l'attività di intercettazione passiva dei dati che transitano in una rete telematica.
Alcuni software di sniffing:
- CommView (a pagamento)- Ethereal (free)- WireShark (free)
Packet Sniffer
![Page 3: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/3.jpg)
La comunicazione viene spezzettata in tanti pezzi
Packet Sniffer
![Page 4: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/4.jpg)
From: 66.76.230.140
To: 213.44.56.72
Ogni pezzo viene identificato come “pacchetto” Il pacchetto contiene informazioni essenziali per la ricostruzione
della comunicazione (Mittente, Destinatario ...)
Protocol: FTPPart: 1 of 3
La catena di custodia
![Page 5: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/5.jpg)
I pacchetti vengono inviati attraverso la rete
Rimandami il pacchetto 2! grazie
Eccolo di nuovo ... !
Può capitare che qualche pacchetto vada perso durante la trasmissione
MITTENTE
DESTINATARIO
Packet Sniffer
![Page 6: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/6.jpg)
Non sempre i pacchetti arrivano in ordine Quindi il client destinatario deve
riordinarli
Packet Sniffer – l’ordine dei pacchetti
![Page 7: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/7.jpg)
L’utilizzo di programmi di sniffing per la lettura dei pacchetti
Programmi di sniffing
![Page 8: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/8.jpg)
CommView – L’interfaccia
IP del mittente (locale)
Packet Sniffer - CommView
![Page 9: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/9.jpg)
L’IP del destinatario (remoto)
CommView – L’interfaccia
Packet Sniffer - CommView
![Page 10: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/10.jpg)
Numero di pacchetti ricevuti
Packet Sniffer - CommView
CommView – L’interfaccia
![Page 11: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/11.jpg)
Numero di pacchetti inviati
CommView – L’interfaccia
Packet Sniffer - CommView
![Page 12: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/12.jpg)
Direzione della trasmissione (IN / OUT)
CommView – L’interfaccia
Packet Sniffer - CommView
![Page 13: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/13.jpg)
Numero delle sessioni TCP/IP attive
CommView – L’interfaccia
Packet Sniffer - CommView
![Page 14: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/14.jpg)
Porte utilizzate per la trasmissione
CommView – L’interfaccia
Packet Sniffer - CommView
![Page 15: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/15.jpg)
Hostname del computer remoto
CommView – L’interfaccia
Packet Sniffer - CommView
![Page 16: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/16.jpg)
Numero di bytes trasmessi per la comunicazione
CommView – L’interfaccia
Packet Sniffer - CommView
![Page 17: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/17.jpg)
outgoing incomingSelezione del pacchetto
Direzione della comunicazione
Packet Sniffer – CommView, un esempio di applicazione
![Page 18: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/18.jpg)
Raw packet details (hexadecimal/plain text)
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
![Page 19: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/19.jpg)
Dettaglio pacchetto
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
![Page 20: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/20.jpg)
Java applet – ricerca dell’URL sul quale sono ospitati i file
Packet Sniffer – CommView, un esempio di applicazione
![Page 21: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/21.jpg)
Inizia la cattura
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
![Page 22: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/22.jpg)
Cattura iniziata
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
![Page 23: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/23.jpg)
Inizia il download
Ricorda il nome file
Packet Sniffer – CommView, un esempio di applicazione
![Page 24: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/24.jpg)
Stop cattura
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
![Page 25: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/25.jpg)
Ricerca nome file
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
![Page 26: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/26.jpg)
http://128.242.207.175/stoniotheman/50cent/50cent-04.zib
Trovato l’URL
outgoing incoming
Packet Sniffer – CommView, un esempio di applicazione
![Page 27: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/27.jpg)
Perquisizione, ricerca e cautelazione degli elementi di prova
• Perquisizione: analisi ambientale• Individuazione delle evidenze di interesse investigativo• Stabilire se è pertinente, nel qual caso:• È un PC? È in funzione?In caso affermativo:• Verifica della flagranza• Idoneo spegnimento• Verifica di eventuali supporti• Esecuzione del hashing sul supporto ( MD5, SHA1 etc)• SEQUESTRO
![Page 28: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/28.jpg)
Computer Forensics – la definizione
Computer Forensics
La Computer forensics è la disciplina che si occupa della preservazione, dell'identificazione, dello studio, della documentazione dei computer, o dei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove nello svolgimento dell’attività investigativa.
![Page 29: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/29.jpg)
I dispositivi hardware – system forensic
Sono interi sistemi, computer/server, dedicati alla computer forensics. Sono caratterizzati da consistenti volumi di archiviazione (storage), ridondanza elettrica per garantire la continuità dell’attività anche in caso di black-out o improvvisi abbassamenti di tensione, grande memoria RAM oltre che a sistemi multiprocessore per garantire una maggiore velocità di calcolo e una serie di periferiche (r/w) per la lettura dei più svariati supporti di massa.
System forensic
![Page 30: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/30.jpg)
I dispositivi hardware – write blocker
Write blocker
Sono strumenti portatili che permettono di leggere i più svariati supporti di massa preservandone il contenuto. In pratica non permettono la modifica / la scrittura accidentale . Vengono posizionati (solitamente attraverso interfaccia USB) tra il computer utilizzato per l’analisi e il supporto oggetto di analisi.
![Page 31: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/31.jpg)
Creazione dell’immagine forense – bit stream image
-l’immagine forense è una esatta copia bit per bit del supporto di massa originale. Questa include anche tutti i file cancellati oltre allo spazio non allocato- quella definita semplicemente copia oppure mirror image non è il termine più adatto a descrivere l’immagine forense
Cosa bisogna sapere• Quando chiedete una immagine, assicuratevi di conoscere quello che state chiedendo• Un’immagine Ghost non è una immagine forense (a meno che non venga espressamente richiesto al programma la cosidetta forensic Ghost image, altrimenti potrebbe non esserlo)•Un’immagine potrebbe non essere una completa immagine forense così come una copia•Per sicurezza richiedere esplicitamente una IMMAGINE FORENSE, in questo modo si evitano possibili incomprensioni
L’immagine forense:
![Page 32: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/32.jpg)
Creazione dell’immagine forense – bit stream image
- In un mondo ideale-La prova informatica (supporto di massa) deve essere protetto da scrittura (mediante l’utilizzo di apposito hardware o software)-Il supporto di massa di destinazione dove essere pulito mediante procedura di Wipe-Utilizzo di procedure di boot forensic mediante CD live (helix)
- Nel mondo reale- utilizzo diretto delle macchine (personal computer) contenenti le prove del reato- non si utilizzano sistemi di write blocker per l’analisi delle prove- utilizzo di software write blocker- i write blocker non vengono applicati a tutti i supporti di massa riscontrati (caso delle Usb-pen)
La creazione dell’immagine forense:
![Page 33: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/33.jpg)
La creazione dell’immagine forense – un metodo rischioso
Disco destinazione per l’immagine forense
Macchina sospetta
Forensic boot CDCon write blocker software
![Page 34: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/34.jpg)
La creazione dell’immagine forense – un buon metodo
Disco destinazione per l’immagine forense
Forensic system
Forensic boot CDCon write blocker software
Disco sorgente fonte di prova
![Page 35: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/35.jpg)
La creazione dell’immagine forense – un ottimo metodo
Disco destinazione per l’immagine forense
Forensic system Disco sorgente fonte di prova
Write blocker
![Page 36: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/36.jpg)
Hashing – la firma digitale nelle prove informatiche
Nel linguaggio scientifico, l'hash è una funzione univoca operante in un solo senso (ossia, che non può essere invertita), atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di "impronta digitale" del testo in chiaro, e viene detta valore di hash, checksum crittografico o message digest.In informatica, la funzione di trasformazione che genera l'hash opera sui bit di un file qualsiasi, restituendo una stringa di bit di lunghezza predefinita. Spesso il nome della funzione di hash include il numero di bit che questa genera: ad esempio, SHA-256 genera una stringa di 256 bit.
Fonte: wikipedia
Hash:
![Page 37: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/37.jpg)
La catena di custodia
E’ importante considerare:
- la prova informatica deve essere sempre accompagnata da un sistema per garantire l’inalterabilità della stessa nel corso dell’indagine (Digital Hash). Qualsiasi sia la prova acquisita deve essere verificata e quanto prima applicato l’algoritmo di HASH. La pratica della Computer Forensics prevede tutto questo nella fase di sequestro, dando evidenza cartacea all’interessato contenente l’elenco del materiale sequestrato e con le rispettive stringhe di hash ottenute;
- l’analisi deve essere sempre effettuata, ove possibile, con delle copie e non sui supporti originali. Questa tecnica viene definita (off-line analysis)
![Page 38: Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo](https://reader036.vdocuments.pub/reader036/viewer/2022062418/5553e842b4c905c4048b5665/html5/thumbnails/38.jpg)
19 Settembre 2008 – Ordine degli avvocati di Bergamo
Grazie per l’attenzione
Marco [email protected]